網絡保安問題禍延傳媒 業者宜作好準備迎硬仗

2000-06-15

  對全球互聯網業者而言,二零零零年二月七日不過是假期後的第一個工作天,但大型入門網站Yahoo!的技術人員,卻萬料不到他們的系統會在員工還未恢復工作心情的時候,經歷有史以來最嚴峻的考驗。在這驚濤駭浪的一天,Yahoo!的系統受到來自網上四面八方的分散式拒絕服務襲擊(Distributed Denial of Service或簡稱DDOS),令網站服務中斷數小時,影響數以十萬計的用戶。第二天,傳媒網站CNN Interactive,以及Amazon.com,eBay等大型網站也難逃劫數,遭受同樣攻擊,其中CNN網站癱瘓近兩小時。

  五月初,「ILOVEYOU」電郵病毒爆發,迅速橫掃全球。正如一年前的Melissa和CIH病毒一樣,問題殃及普羅用戶,電腦網絡恐慌加劇。其後接踵而來幾個不同電郵病毒的消息,更令用戶和網絡業者成為驚弓之鳥。

  有關二月發生的大型網站受襲事件,不少人原先以為是涉及多名黑客經過精心安排的有組織罪行。令人驚訝的是涉嫌攻擊CNN網站化名Mafiaboy的黑客只得十五歲,被協助緝捕他的電腦保安專家形容為道行不高,絕對稱不上專業。他的「知識」只是來自網上其他人士和坊間隨手可得的資料和軟件,破壞網上電腦系統並不再是深奧技術。

  值得擔憂的是純粹惡作劇的小黑客,也足以對資源雄厚的集團產生威脅。面對看來危機四伏的互聯網,一向強調信息服務無間的傳媒業不禁產生連串疑問:網絡保安的問題是否無藥可救?利用互聯網作為大眾傳播管道的時刻是否仍未到臨?過份依賴互聯網發放信息會否弄巧成拙?

忽視保安監督不足

  互聯網所採用的網絡規程TCP/IP,原先發展的目標並非著眼於安全度高的通訊和商業應用,因而缺乏嚴謹的保安功能,固然是問題的一個根源。但不少從事網上事業的機構,忽視保安工作的重要性,卻也是責無旁貸的。這個疏忽由以下幾個原因造成:

(一)網絡事業發展顧此失彼:由於網業發展急速,管理人員只著眼於盡快把概念落實,令投資得到回報,但卻忽略了系統保安和提供合理的後備設施。此外,資訊科技業內人手短缺,員工流動性大,主管寧可集中力量開發應用系統,將保安問題無限期擱置。

(二)企業缺乏資訊保安認識:不少管理人員以為系統、網絡和應用程式的保安是高度技術性的工作,因而只交由技術人員處理,自己從不過問。在遇上突發情況時,便將責任完全推到技術人員身上。事實上,完整的資訊保安工作並不止於萬維網站的互聯網出口,還須企業全體員工的配合,很多肩負保安責任的資訊技術人員在推動安全守則時均感到力不從心。

(三)管理監督保安力度不足:相比維繫投資者和客戶關係、開拓商務模式,和提高企業知名度等,加強資訊保安管理通常只屬次要目標。無論從投放的資源和管理層的支持力度而言,保安工作明顯未受到應有的重視。大部分企業不但缺乏一套內部資訊保安守則,也未有制訂當一旦系統遭受破壞時的緊急應變措施。

針對傳媒的網上襲擊

  大眾傳媒無不期望互聯網能讓它們接觸更多的受眾,並將兩者間距離進一步縮短。不少敢於創新的媒體,更完全擺脫傳統的傳播形式,將整個業務在互聯網上運作,紛紛作網上報刊和網上電台等新嘗試。但愈是依賴資訊科技的媒體,便愈有必要把資訊保安工作和有關的風險管理意識提上企業的管理層。

  將傳播服務連入互聯網,便等同於把媒體的聲譽和公信力押在不可預知的環境。這當中充斥著喜歡惡作劇的黑客、希望測試自己技術的電腦愛好者、滿懷敵意的持不同意見人士和團體、不幸沾上的電腦病毒,以至本身員工有意和無意的錯誤。而更令業者感到兩難的是愈強調網站的保安功能強大,愈有機會變成「眾矢之的」,惹來各方欲挑戰高難度的黑客入侵。

  針對大眾傳媒的網上襲擊,從破壞手法上,可分為下列幾個類別:

──主系統未被入侵的網上攻擊:由於目標網站保安嚴密,破壞者並不向它直接入侵,而改為通過網上其他系統配合攻擊。二月的DDOS即屬此類,黑客同時發動大批已被非法入侵的電腦,並以虛假的來源地址,向目標網站發出大量信息,令網站服務器應接不暇。在無法進行堵截的情況下,正常訪問大受影響。另外,襲擊個別受眾的網域名字服務器(domain name server),也可將受眾從知名網站誤導(IP spoofing)至預先佈置的系統,發放虛假的消息。大型網絡服務商用戶眾多,網域名字服務器的保安工作尤為重要。

──受襲系統上信息被竄改:若網站系統被破壞者攻入,它將面對最惡劣的後果。影響相對短暫但顯著的破壞,是被黑客更改主網頁的內容,插入不雅或令媒體尷尬的文字和圖像。較難發現但影響深遠的,則可能是經過精心佈局的內容竄改,如改動股票價格、更改評論文章的立場等,以達到個人的目的。此外,遭入侵系統更可被操控成為下一階段攻擊其他網上系統的傀儡。

──無中生有的冒名訊息:破壞者也會冒公信力良好的媒體之名,發出電郵愚弄公眾,或誘使目標對象訪問預先佈置的網站,騙取他們的賬號和口令、個人資料,以及信用卡號碼等資料。若收信人是有關媒體的登記用戶,則更容易成為受害者。

──機密資料外洩:表面上,大眾傳媒沒有太多機密資料,但媒體機構服務器往往儲存著新聞摘要等的訂閱者數據庫。這些數據庫通常錄有姓名、地址、年齡、信用卡號碼、喜愛資訊類別選項,以及訪問紀錄等敏感個人資料。而若被入侵的為內部系統,更可能將尚未正式發出的消息,或個別記者編輯正在跟進的材料曝光,令媒體蒙受損失。

部署應戰資訊硬仗

  Computer Security Institute與美國聯邦調查局於二零零零年三月發表的調查顯示,九成美國大企業和政府機關在過去十二個月內遇上某程度保安問題,七成機構的個案情節嚴重,如機密資料失竊、財務欺詐、黑客入侵、破壞,以及拒絕服務襲擊等。但實情是大部份保安事故從未被發現;而礙於技術人員面子原因,大部份被發現個案均沒有向上級報告;也因為企業聲譽問題,大部份上級知曉的事件,也沒有向公眾透露。

  傳媒事業要在互聯網上有一番作為,就得作好準備。管理層必須對資訊保安加深了解、摒棄一些錯誤觀念,以及多加一些關注和支持。資訊科技和其他崗位的員工,亦必須同時加強保安的意識,做好危機應變和風險管理。

  一些超級大國政府已經部署應付新一代的資訊戰爭(information warfare)。儘管個別媒體企業營運並不涉及重大經濟利益,但基於大眾媒介的重要價值,已註定它無法擺脫成為資訊戰爭中的重要棋子。對網上傳媒業者而言,一場結結實實的硬仗看來是勢所難免的。

相關文章 / Related Articles

香港學生反修例運動中網絡關係解體的實證調查

宋昭勛、吳靜、胡欣立
2021-01-11

中國傳媒上的「奉勸」

錢鋼
2020-05-15